CISSP是否适合Java架构师？

Question

在过去的12年里，我是开发web (Java/JEE)和移动应用程序(Android)的技术领先者(去年是移动的)。我对IT安全很感兴趣。

是否值得获得CISSP或CISA认证并进入安全流？从编程/解决方案体系结构转向安全审计是一种常见的做法吗？

Answer 1

我认为，任何对追求以安全为中心的职业感兴趣的人都应该在这个过程的早期就成为CISSP。如果您有兴趣继续专注于开发，并希望展示安全专门知识，那么还有其他几个更合适的认证。我强烈推荐SANS类和相应的GIAC认证，因为它们可能是技术上最有洞察力和要求的。具有一个或多个GIAC认证的专家通常是非常有知识的专业人员。

我想说的是，12年的经验和您使用的术语“解决方案架构”表明，您是一名高级从业者。因此，我敦促您考虑成为经过认证的安全软件生命周期专业人员(CSSLP)。这是一个相当罕见的认证，并可能是一个强大的吸引力，在高端求职。CSSLP与其他几个相关证书是罕见的，可以期待在目前的就业市场上，高级安全人员的需求非常高的优秀薪酬。

我不想吹牛，但我是从经验中说出来的，因为我的10+年任期是CISSP，拥有CSSLP，CISA和各种其他证书。我每周有一次以上的职位空缺，尽管我没有去找。

Answer 2

根据我的经验，从编程到安全比从网络到安全要少见得多。对于CISSP持有者来说，情况尤其如此。应用程序安全日益重要，对具有开发经验的应用程序安全人员有着巨大的需求。开发人员可以更有效地与开发人员沟通，并了解如何测试应用程序而不是网络。能够在日志中读取代码和堆栈跟踪将立即使您在游戏中领先。